Usar pontos de extremidade privados para o Prometheus Gerenciado e o espaço de trabalho do Azure Monitor
Use pontos de extremidade privados para o Prometheus Gerenciado e o espaço de trabalho do Azure Monitor para permitir que os clientes em uma rede virtual (VNet) acessem dados de consultas com segurança por meio de um Link Privado. O ponto de extremidade privado usa um endereço IP separado dentro do espaço do endereço da VNet do seu recurso de espaço de trabalho do Azure Monitor. O tráfego de rede entre os clientes na VNet e o recurso de espaço de trabalho atravessa a VNet e um link privado na rede backbone da Microsoft, eliminando a exposição à internet pública.
Observação
Se estiver usando o Espaço Gerenciado do Azure para Grafana para consultar seus dados, configure um Ponto de Extremidade Privado Gerenciado para se certificar de que as consultas do Espaço Gerenciado do Grafana no seu espaço de trabalho do Azure Monitor usem a rede backbone da Microsoft sem passar pela internet.
O uso de pontos de extremidade privados para o seu espaço de trabalho permite que você:
- Proteja seu espaço de trabalho configurando sua rede de acesso público para bloquear todas as conexões no ponto de extremidade de consulta pública para o espaço de trabalho.
- Aumentar a segurança da VNet permitindo que você bloqueie o vazamento de dados da VNet.
- Conecte-se com segurança aos espaços de trabalho a partir de redes locais que se conectam à VNet usando uma VPN ou ExpressRoutes com peering privado.
Visão geral conceitual
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua VNet (rede virtual). Quando você cria um ponto de extremidade privado para o seu espaço de trabalho, passa a fornecer conectividade segura entre os clientes na sua VNet e o seu espaço de trabalho. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP de sua VNet. A conexão entre o ponto de extremidade privado e o espaço de trabalho usa um link privado seguro.
Os aplicativos na VNet podem se conectar ao espaço de trabalho por meio de pontos de extremidade privados de forma integrada, usando as mesmas cadeias de conexão e mecanismos de autorização que já usam normalmente.
Os pontos de extremidade privados podem ser criados em sub-redes que usam Pontos de Extremidade de Serviço. Os clientes na sub-rede podem se conectar a um espaço de trabalho usando um ponto de extremidade privado e, ao mesmo tempo, usar pontos de extremidade de serviço para acessar outros serviços.
Quando você cria um ponto de extremidade privado para um espaço de trabalho na sua VNet, uma solicitação de consentimento é enviada para ser aprovada pelo proprietário do espaço de trabalho. Se o usuário que estiver solicitando a criação do ponto de extremidade privado também for o proprietário do espaço de trabalho, essa solicitação de consentimento será aprovada automaticamente.
Os proprietários do espaço de trabalho do Azure Monitor podem gerenciar as solicitações de consentimento e os pontos de extremidade privados por meio da guia "Acesso Privado" na página de Rede do espaço de trabalho no portal do Azure.
Dica
Se quiser restringir o acesso ao seu espaço de trabalho somente por meio do ponto de extremidade privado, selecione "Desabilitar o acesso público e usar o acesso privado" na guia "Acesso Público" na página de Rede do espaço de trabalho no portal do Azure.
Criar um ponto de extremidade privado
Para criar um ponto de extremidade privado usando o portal do Azure, o Azure PowerShell ou a CLI do Azure, confira os artigos a seguir. Os artigos mostram um aplicativo web do Azure como o serviço de destino, mas as etapas para criar um link privado são as mesmas para um espaço de trabalho do Azure Monitor.
Ao criar um ponto de extremidade privado, selecione o Tipo de recursoMicrosoft.Monitor/accounts e especifique o espaço de trabalho do Azure Monitor ao qual ele se conecta. Selecione prometheusMetrics como o sub-recurso de Destino.
Criar um ponto de extremidade privado usando o portal do Azure
Criar um ponto de extremidade privado usando o Azure PowerShell
Conectar-se a um ponto de extremidade privado
Os clientes em uma VNet que usam o ponto de extremidade privado devem usar a mesma cadeia de conexão de consultas para o espaço de trabalho do Azure Monitor que os clientes que se conectam ao ponto de extremidade público. Dependemos da resolução do DNS para rotear automaticamente as conexões da VNet para o espaço de trabalho por meio de um link privado.
Por padrão, criamos uma zona DNS privada anexada à VNet com as atualizações necessárias para os pontos de extremidade privados. No entanto, se você estiver usando seu servidor DNS, talvez seja necessário fazer alterações adicionais na configuração do DNS. A seção sobre alterações no DNS abaixo descreve as atualizações necessárias para pontos de extremidade privados.
Alterações no DNS para pontos de extremidade privados
Observação
Para obter detalhes sobre como definir suas configurações de DNS para pontos de extremidade privados, consulte Configuração de DNS do ponto de extremidade privado do Azure.
Quando você cria um ponto de extremidade privado, o registro CNAME do DNS do espaço de trabalho é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, também criamos uma zona DNS privada, correspondente ao subdomínio privatelink, com os registros de recurso DNS A para os pontos de extremidade privados.
Quando você resolve o URL do ponto de extremidade da consulta de fora da VNet com o ponto de extremidade privado, ele é resolvido para o ponto de extremidade público do espaço de trabalho. Quando for resolvido a partir da VNet que hospeda o ponto de extremidade privado, o URL do ponto de extremidade é resolvido para o endereço IP do ponto de extremidade privado.
Para o exemplo abaixo, estamos usando k8s02-workspace localizado na região Leste dos EUA. Não há garantia de que o nome do recurso seja exclusivo, o que requer que adicionemos alguns caracteres após o nome para tornar o caminho do URL exclusivo; por exemplo, k8s02-workspace-<key>. Esse ponto de extremidade de consulta exclusivo é mostrado na página Visão Geral do espaço de trabalho do Azure Monitor.
Os registros de DNS para o espaço de trabalho do Azure Monitor, quando resolvidos de fora da VNet que hospeda o ponto de extremidade privado, são os seguintes:
| Nome | Type | Valor |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
CNAME | <Ponto de extremidade público do serviço regional do AMW> |
| <Ponto de extremidade público do serviço regional do AMW> | A | <Endereço IP público do serviço regional do AMW> |
Conforme mencionado anteriormente, você pode negar ou controlar o acesso dos clientes de fora da VNet por meio do ponto de extremidade público usando a guia "Public Access" na página de Rede do seu espaço de trabalho.
Os registros DNS para "k8s02-workspace", quando resolvidos por um cliente na VNet que hospeda o ponto de extremidade privado, são os seguintes:
| Nome | Type | Valor |
|---|---|---|
k8s02-workspace-<key>.<region>.prometheus.monitor.azure.com |
CNAME | k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
k8s02-workspace-<key>.privatelink.<region>.prometheus.monitor.azure.com |
Um | <Endereço IP do ponto de extremidade privado> |
Essa abordagem habilita o acesso ao espaço de trabalho usando a mesma cadeia de conexão de consulta para os clientes na VNet que hospeda os pontos de extremidade privados e também para os clientes fora da VNet.
Se você estiver usando um servidor DNS personalizado na sua rede, os clientes precisam ser capazes de resolver o FQDN no ponto de extremidade de consulta do espaço de trabalho para o endereço IP do ponto de extremidade privado. Configure o servidor DNS para delegar seu subdomínio de link privado à zona DNS privada para a VNet ou configure os registros A para k8s02-workspace com o endereço IP do ponto de extremidade privado.
Dica
Ao usar um servidor DNS personalizado ou local, você deve configurá-lo para resolver o ponto de extremidade de consulta do espaço de trabalho no subdomínio privatelink para o endereço IP do ponto de extremidade privado. Você pode fazer isso delegando o subdomínio privatelink à zona DNS privada da VNet ou configurando a zona DNS em seu servidor DNS e adicionando os registros do DNS A.
Os nomes da zona DNS recomendados para pontos de extremidade privados para um espaço de trabalho do Azure Monitor são os seguintes:
| Recurso | Sub-recurso de destino | Nome da zona |
|---|---|---|
| Workspace do Azure Monitor | prometheusMetrics | privatelink.<region>.prometheus.monitor.azure.com |
Para saber mais sobre como configurar seu servidor DNS para ter compatibilidade com pontos de extremidade privados, veja os seguintes artigos:
- Resolução de nomes para recursos em redes virtuais do Azure
- Configuração de DNS para pontos de extremidade privados
Preços
Para obter detalhes de preço, confira Preço do Link Privado do Azure.
Problemas conhecidos
Tenha em mente os seguintes problemas conhecidos sobre pontos de extremidade privados para espaços de trabalho do Azure Monitor.
Restrições de acesso de consulta ao espaço de trabalho para clientes em VNets com pontos de extremidade privados
Os clientes em VNets com pontos de extremidade privados existentes enfrentam restrições ao acessar espaços de trabalho do Azure Monitor que tenham pontos de extremidade privados. Por exemplo, suponha que uma VNet N1 tenha um ponto de extremidade privado para um espaço de trabalho A1. Se o espaço de trabalho A2 tiver um ponto de extremidade privado em uma VNet N2, os clientes na VNet N1 devem também consultar os dados do espaço de trabalho na conta A2 usando um ponto de extremidade privado. Se o espaço de trabalho A2 não tiver nenhum ponto de extremidade privado configurado, os clientes na VNet N1 poderão consultar dados desse espaço de trabalho sem um ponto de extremidade privado.
Essa restrição é um resultado das alterações de DNS feitas quando o espaço de trabalho A2 cria um ponto de extremidade privado.